Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'CS5TM' = '\MZTEC2015\CSRCP.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
Изменения в файловой системе:
Создает следующие файлы:
- C:\MZTEC2015\CSRCP.exe
Удаляет следующие файлы:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
Сетевая активность:
Подключается к:
- 'www.kk#######tuyegwef545gwegew.com':80
- 'www.we#########yhfwehgfgwefwef25fwef.com':80
- 'www.fl#####iskm26.com.br':80
TCP:
Запросы HTTP GET:
- www.kk#######tuyegwef545gwegew.com/plugins/token/token.html
- www.we#########yhfwehgfgwefwef25fwef.com/plugins/token/token.html
- www.fl#####iskm26.com.br/template2/painel/skin-avant/plugins/token/token.html
UDP:
- DNS ASK www.we#########yhfwehgfgwefwef25fwef.com
- DNS ASK www.kk#######tuyegwef545gwegew.com
- DNS ASK www.google.com
- DNS ASK www.fl#####iskm26.com.br
